jusbrasil.com.br
29 de Fevereiro de 2020

A nova lei de privacidade e proteção de dados na Califórnia (CCPA)

Os principais pontos da nova regulação vista como a ‘GDPR da Costa Oeste’

Jota Info, Jornalista
Publicado por Jota Info
há 10 meses

A entrada em vigor da Lei Geral de Proteção de Dados da Europa (GDPR), em maio do ano passado, estabeleceu um novo capítulo no cenário mundial da privacidade e proteção de dados. A proposta e adoção de uma regulação mais robusta e compreensiva do que a Diretiva anterior adotada pela União Europeia trouxe uma série de desafios para aqueles envolvidos no processamento de dados de indivíduos presentes na Europa.

Superada a longa fase de implementação e os primeiros desafios de adequação à legislação europeia, um novo desafio surge na Califórnia: a Lei de Privacidade dos Consumidores da Califórnia, intitulada California Consumer Privacy Act ou simplesmente CCPA.

A nova lei, inspirada pela GDPR, vem sendo tratada como a lei de privacidade mais compreensiva do Estados Unidos até agora. A CCPA entra em vigor no dia 1º de janeiro de 2020 e, à semelhança da lei europeia, traz uma série de desafios para a sua implementação e compliance. Um, dentre os vários já em debate, é o chamado look back requirement, que determina que as empresas terão que prestar conta dos dados pessoais coletados desde 1º de janeiro de 2019, período de 12 meses antes da entrada em vigor da CCPA. Outro é o curto período para adequação e a expectativa de novas emendas, já que vários pontos da lei ainda precisam ser esclarecidos.

Há, ainda, uma série de outras questões importantes na CCPA que não serão objeto de análise no presente artigo como: obtenção de autorização para venda de dados pessoais de crianças de 13 a 16 anos, sem a exigência de consentimento dos pais; requisitos adicionais destinados às empresas que atuam na área de saúde e life science; obrigações relacionadas à “revenda” de dados; o impacto da lei nas atividades de empresas que atuam no mercado de dados (data-driven) e sua aplicabilidade às instituições financeiras.

A comparação da CCPA com a GDPR parece inevitável, principalmente, no que tange à abrangência de ambas. Todavia, não obstante similitudes possam ser encontradas, a CCPA apresenta nuances únicas, de modo que mesmo que uma empresa tenha sido bem-sucedida no processo de compliance com a GDPR terá que envidar novos esforços para se adequar à nova lei da Califórnia.

A intenção do legislador californiano foi devolver aos consumidores o exercício do controle sobre suas “informações pessoais” (ou “dados pessoais”, termo adotado pela legislação europeia e brasileira, que equivale à noção de personal information nos Estados Unidos). A proliferação de dados pessoais estaria limitando a capacidade dos californianos protegerem e salvaguardarem sua privacidade da forma adequada. A intenção da lei seria a de fortalecer o direito de privacidade dos consumidores da Califórnia, permitindo que eles exerçam o controle de seus dados de forma efetiva, por meio dos direitos assegurados na CCPA.

A quem se aplica?

A CCPA se aplica às empresas que coletem informação pessoal de residentes da Califórnia.

A lei não se aplica a qualquer empresa. A CCPA define business como entidade que (i) colete informação pessoal de consumidores, (ii) determine a finalidade e meios de processamento da informação pessoal, (iii) faça negócios no Estado da Califórnia, e (iv) satisfaça um ou mais dos requisitos a seguir:

  • Tenha receita bruta anual superior à 25 milhões de dólares;

  • Sozinha ou em conjunto, por ano, compre, receba, venda ou compartilhe, para fins comerciais, dados pessoais de 50 mil ou mais residentes, propriedades ou aparelhos da Califórnia;

  • Tenha 50% ou mais da receita anual advindos da venda de dados pessoais de residentes da Califórnia.

Note-se que a lei não exige que a empresa esteja baseada na Califórnia. Assim, a lei se aplicaria às empresas de qualquer lugar do mundo que façam negócios na Califórnia e que se satisfaçam os requisitos acima.

A CCPA também traz disposições que dizem respeito aos prestadores de serviço e terceiros. Os prestadores de serviço, por exemplo, são proibidos de reter, usar, ou divulgar dados pessoais para qualquer finalidade que não seja aquela especificada no contrato para a realização dos serviços. Resumidamente, nos termos da CCPA, prestador de serviço é aquele que processa informação em nome de outras empresas e para o qual elas divulgam dados pessoais de consumidores para fins comerciais por meio de um contrato escrito.

Leia artigo completo de Viviane Trojan no JOTA.info

0 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)